Cara membuat kebijakan otorisasi RAM kustom untuk HBase - ApsaraDB for HBase

Kebijakan RAM kustom memberikan kontrol detail halus atas operasi yang dapat dilakukan pengguna RAM pada instans ApsaraDB for HBase tertentu. Berbeda dengan kebijakan sistem yang memberikan akses ke semua resource, kebijakan kustom memungkinkan Anda membatasi izin hanya pada instans tertentu atau menggabungkan beberapa tingkat izin dengan kondisi opsional, seperti tanggal kedaluwarsa.

Untuk petunjuk membuat kebijakan kustom di Konsol RAM, lihat Buat kebijakan kustom.

Jenis resource dan format ARN

ApsaraDB for HBase mendukung satu jenis resource untuk otorisasi RAM: dbinstance.

Gunakan format berikut di bidang Resource kebijakan Anda:

acs:hbase:<regionid>:<accountid>:dbinstance/<dbinstanceid>

Parameter	Deskripsi
`regionid`	ID wilayah tempat instans ditempatkan
`accountid`	ID akun Alibaba Cloud Anda
`dbinstanceid`	ID instans ApsaraDB for HBase

Contoh kebijakan

Berikan akses read-only

Kebijakan berikut memungkinkan pengguna RAM memanggil operasi API hbase:Describe* apa pun pada instans yang ditentukan. Gunakan kebijakan ini untuk pengguna yang hanya perlu melihat informasi instans, seperti personel operasi atau audit.

{
    "Statement": [
        {
            "Action": [
                "hbase:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:hbase:<regionid>:<accountid>:dbinstance/<dbinstanceid>"
            ]
        }
    ],
    "Version": "1"
}

Berikan operasi spesifik pada satu instans

Kebijakan berikut memungkinkan pengguna RAM membuat kluster dan memperluas penyimpanan instans tertentu. Kebijakan ini cocok untuk developer atau operator yang mengelola satu instans tetapi tidak boleh memiliki akses ke instans lain.

{
    "Statement": [
        {
            "Action": [
                "hbase:CreateCluster",
                "hbase:ResizeDiskSize"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:hbase:<regionid>:<accountid>:dbinstance/<dbinstanceid>"
            ]
        }
    ],
    "Version": "1"
}

Berikan akses terbatas waktu dengan tanggal kedaluwarsa

Gunakan bidang Condition untuk membatasi masa berlaku kebijakan. Kebijakan berikut memberikan izin akses baca, pembuatan kluster, dan perluasan penyimpanan pada instans tertentu hingga 17 Agustus 2020 (UTC+8).

{
    "Statement": [
        {
            "Action": [
                "hbase:CreateCluster",
                "hbase:ResizeDiskSize",
                "hbase:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:hbase:<regionid>:<accountid>:dbinstance/<dbinstanceid>"
            ],
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2020-08-17T23:59:59+08:00"
                }
            }
        }
    ],
    "Version": "1"
}

Ganti placeholder berikut dengan nilai aktual:

Placeholder	Deskripsi	Contoh
`<regionid>`	ID wilayah	`cn-hangzhou`
`<accountid>`	ID akun Alibaba Cloud Anda	`123456789012`
`<dbinstanceid>`	ID instans ApsaraDB for HBase	`hb-bp1234567890abcd`

Catatan

Untuk daftar lengkap kunci kondisi dan operator, lihat Struktur dan sintaksis kebijakan.

Cara ApsaraDB for HBase mengotentikasi panggilan API

Saat pengguna RAM memanggil operasi API ApsaraDB for HBase, layanan memeriksa apakah kebijakan pengguna tersebut memberikan izin yang diperlukan. Pemeriksaan ini mengevaluasi baik operasi API yang dipanggil maupun resource yang dituju.

Sebagai contoh, saat pengguna RAM memanggil CreateCluster, ApsaraDB for HBase memeriksa apakah pengguna memiliki izin hbase:CreateCluster pada resource target acs:hbase:<regionid>:<accountid>:dbinstance/<dbinstanceid>.